首页 > Spring > 当前页面

OAuth2三方登录授权码模式深度解析

2026-06-11 NEW个对象

📌 OAuth2三方登录授权码模式深度解析

1️⃣ 问题背景

在现代互联网体系中，用户登录已经从传统的“账号+密码”模式，演进为以OAuth2为核心的第三方授权体系。微信登录、GitHub登录、Google登录等场景，本质都是OAuth2授权码模式的落地实现。

传统登录模式存在明显问题：密码泄露风险高、用户注册成本高、跨平台体验差、账号体系割裂严重。因此，第三方登录逐渐成为主流方案。

OAuth2授权码模式作为目前最安全、最标准的授权方式，被广泛用于互联网认证体系中，尤其适用于Web应用与后端服务交互场景。

⚠️ 核心问题： 为什么授权码模式比其他模式更安全？为什么必须先拿Code再换Token？为什么不能直接返回Token？

2️⃣ 核心原理

OAuth2授权码模式的核心思想是：通过“中间授权码”作为安全桥梁，避免AccessToken直接暴露在浏览器或前端环境中。

整个过程分为两个阶段：前端获取授权码，后端通过授权码换取AccessToken，从而实现安全的身份认证与资源访问控制。

✅ 核心结论： 授权码模式 = 前端获取Code + 后端换Token + Token访问资源 + 本地系统建立登录态

OAuth2四大角色

资源拥有者（User）
↓ 客户端（Client）
↓ 授权服务器（Authorization Server）
↓ 资源服务器（Resource Server）

三方登录中的“GitHub / 微信 / Google”本质上都是授权服务器。

3️⃣ 数据结构分析

Authorization Code

授权码是整个流程的核心中间凭证，通常具有短生命周期与一次性使用特性。

code=SplxlOBeZQQYbYS6WxSbIA

特点如下：

一次性使用
短时有效（通常5~10分钟）
仅用于换取Token

AccessToken结构

access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

AccessToken用于访问用户资源，是最终授权凭证。

State参数

state=af23d8c9xk

State用于防止CSRF攻击，是安全体系的重要组成部分。

Client信息结构

client_id=10001
client_secret=xxxxxx
redirect_uri=https://app.com/callback

ClientSecret必须保存在服务端，禁止暴露在前端。

4️⃣ 算法分析

授权码交换Token算法

OAuth2授权码模式本质是一个“安全交换协议”，核心在于服务端之间的可信通信。

用户点击登录 ↓ 跳转授权服务器 ↓ 用户授权 ↓ 生成Authorization Code ↓ 回调Client ↓ Client携带Code请求Token ↓ Authorization Server校验Code ↓ 返回AccessToken

该过程避免了Token暴露在浏览器中的风险。

Token安全算法逻辑

if (code.used == true) reject; if (code.expired) reject; if (client_id invalid) reject; if (redirect_uri mismatch) reject; return access_token;

授权码必须满足严格校验条件，才能换取Token。

5️⃣ 执行流程

完整授权流程

1. 用户点击第三方登录
↓ 2. 跳转授权页面（比如：同意查看个人信息、同意修改个人信息）
↓ 3. 用户登录并授权
↓ 4. 授权服务器生成Code
↓ 5. 回调redirect_uri
↓ 6. Client接收Code
↓ 7. Server端请求Token接口
↓ 8. 获取AccessToken
↓ 9. 请求用户信息接口
↓ 10. 创建本地用户
↓ 11. 生成JWT登录态

关键通信流程

Browser → Authorization Server → Browser Redirect → Backend → Authorization Server → Resource Server

整个过程中，浏览器只负责跳转和携带Code，不参与Token生成。

Token交换请求

POST /oauth/token
grant_type=authorization_code
client_id=10001
client_secret=xxxx
code=abc123
redirect_uri=https://app.com/callback

6️⃣ 实际案例

GitHub登录流程

以GitHub OAuth登录为例：

1. 跳转GitHub授权页
2. 用户授权
3. GitHub返回code
4. 后端请求access_token
5. 获取GitHub用户信息
6. 绑定本地用户

微信扫码登录流程

生成二维码 ↓ 用户扫码 ↓ 确认登录 ↓ 微信返回Code ↓ 服务端换Token ↓ 获取openid ↓ 建立本地账号

openid是微信体系中唯一用户标识。

数据库设计案例

user
id, username, password

oauth_user
id, user_id, provider, open_id, access_token

7️⃣ 优缺点分析

优势

✅ 优点

安全性高（Token不暴露）
标准化协议
支持多平台接入
扩展性强
适用于Web系统

劣势

❌ 缺点

流程较复杂
依赖授权服务器
需要后端参与换Token
网络跳转次数较多

8️⃣ 面试常见问题

Q1：为什么必须使用授权码模式？

避免AccessToken暴露在浏览器端，提高安全性。

Q2：Code为什么要一次性？

防止被重复使用导致Token被盗取。

Q3：state的作用是什么？

防止CSRF攻击，保证请求一致性。

Q4：AccessToken和JWT区别？

AccessToken是授权凭证，JWT是身份令牌实现方式。

Q5：用户哪些权限？

在 OAuth2 三方登录中，用户在授权页面看到的通常是：

“允许访问你的公开信息”

“获取你的昵称、头像”

“读取你的邮箱”

“访问你的好友列表（部分平台）”

9️⃣ 总结

OAuth2授权码模式是目前最安全、最标准的第三方登录解决方案，其核心思想是通过“Code中转机制”实现前后端职责分离，避免敏感Token暴露在不可信环境中。

✅ 核心流程总结

用户点击登录
↓ 跳转授权服务器
↓ 用户授权
↓ 获取Authorization Code
↓ 后端换取AccessToken
↓ 获取用户信息
↓ 建立本地用户
↓ 签发JWT
↓ 完成登录

从架构角度看，授权码模式通过“浏览器不接触Token”的设计理念，实现了安全性与扩展性的平衡，是现代微服务认证体系的核心基础组件之一

上一篇：认证授权：OAuth2简介及四种授权模型详解

下一篇：秒杀令牌桶算法详解

Spring security的执行流程

Spring Security 的执行流程： 1、认证（Authentication）：先经过认证过滤器 -> 认证管理器 -> 成功后存入 SecurityContextHolder 2、授权（Authorization）：访问资源时经过授权过滤器 -> 权限判断 -> 允许访问或拒绝访问 3、所有请求都经过 SecurityFilterChain 过滤

NEW个对象 2025-02-27
深入RabbitMQ世界：探索3种队列、4种交换机、7大工作模式及常见概念？

https://blog.csdn.net/belongtocode/article/details/141299958

NEW个对象 2025-01-12
B树与B+树的区别

B树与B+树的区别

NEW个对象 2024-12-25

NEW个对象

JAVA是世界上最好的语言